ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АО «САТИЗ»
1 Назначение и область применения
1.1 Настоящая политика разработана в соответствии и во исполнение требований законодательства Российской Федерации, нормативно-методических документов регуляторов в соответствии с СТО ОДК 019-2020 АО «ОДК» и внутренних документов Общества.
1.2 Настоящая политика устанавливает совокупность правил, требований и основных принципов обработки персональных данных в информационных системах Общества.
1.3 Настоящая политика разработана с целью обеспечения защиты прав работников Общества и иных физических лиц при обработке их персональных данных Обществом в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ, Федеральным законом от 27.07.2006 № 149-ФЗ.
1.4 Задачи для достижения целей:
– защита прав работников Общества и иных физических лиц при обработке их персональных данных Обществом;
– соответствие требованиям законодательства Российской Федерации в сфере обработки персональных данных.
1.5 Требования настоящей политики распространяются на деятельность всех подразделений Общества, включая филиалы и ДО, а также должны соблюдаться в отношениях Общества с другими юридическими лицами, взаимодействующими с Обществом в качестве поставщиков и потребителей информационных ресурсов Общества в том или ином качестве.
1.6 Настоящая политика является общедоступной и подлежит размещению на официальном сайте Общества.
2 Нормативные ссылки
В настоящей политике использованы ссылки на следующие документы:
– Трудовой кодекс Российской Федерации;
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
– Положение о защите персональных данных в АО «СатИЗ»;
– Положение о порядке передачи персональных данных работника АО «СатИЗ»;
– Инструкция № 120-05-0005-2018 «Режим конфиденциальности».
3 Термины и определения
В настоящей политике применяются следующие термины с соответствующими определениями:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общество – Акционерное общество «Сатурн-Инструментальный завод».
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (в том числе работнику Общества, субъекту персональных данных).
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации или предоставление доступа к персональным данным каким-либо иным образом.
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных (в том числе работник Общества).
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
4 Определение перечня персональных данных.
В Организации обрабатываются персональные данные следующих категорий субъектов персональных данных:
4.1 Персональные данные работников
Цели обработки персональных данных работников:
1) ведение кадрового учета в соответствии с Трудовым кодексом Российской Федерации;
2) начисление заработной платы и премиального вознаграждения;
3) подготовка регламентированной отчетности в государственные контрольные органы (ФНС, ПФР, ФСС и другие).
В организации как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных сотрудников:
фамилия, имя, отчество; дата и место рождения; гражданство; семейное положение; состав семьи; паспортные данные; сведения об образовании; сведения о трудовом стаже; занимаемая должность; сведения о воинской обязанности; адрес регистрации и фактического места жительства; контактные телефоны; сведения о доходах; данные трудового договора; подлинники и копии приказов по личному составу; дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям; анкеты; результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (без диагноза и других медицинских данных); фотография; индивидуальный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; сведения об отпусках; сведения о социальных льготах и гарантиях; код карты доступа в помещения; номер карты доступа в помещения; уровень доступа в помещения; время действия карты доступа в помещения; дата выдачи карты доступа в помещения; тип карты доступа в помещения.
4.2 Персональные данные соискателей на вакантные должности
Цели обработки персональных данных соискателей:
1) трудоустройство на вакантные должности.
В организации как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных соискателей:
фамилия, имя, отчество; дата рождения; место рождения; гражданство; пол; сведения о воинском учете; сведения об образовании; сведения о трудовом стаже; другие данные, указанные соискателем самостоятельно в резюме.
4.3 Персональные данные контрагентов
Цели обработки персональных данных контрагентов:
1) Покупка материалов основного производства, а так же вспомогательных материалов у контрагента;
2) продажа продукции контрагенту;
3) оказание контрагенту услуг по ремонту оснастки и инструмента;
В организации как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных контрагентов:
фамилия, имя, отчество; паспортные данные; адрес регистрации; контактные данные; адрес электронной почты; данные о счетах и договорах; банковские реквизиты счета контрагента.
5 Принципы обработки персональных данных
5.1 Общество принимает и обеспечивает выполнение следующих принципов обработки персональных данных:
– обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработке подлежат только персональные данные, которые отвечают целям их обработки;
– содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
– при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию после достижения целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6 Условия и цели обработки
Обществом определен перечень обрабатываемой информации ограниченного доступа в информационной системе персональных данных Общества, цели и условия обработки персональных данных.
Обработка персональных данных Общества производится в следующих случаях:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
– обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
– обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, при условии обязательного обезличивания персональных данных в соответствии с законодательством Российской Федерации;
– осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
– осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
7 Обработка персональных данных
При обработке персональных данных Общество совершает следующие действия (операции) или совокупность действий (операций) с использованием средств автоматизации или без использования таких средств с персональными данными: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление и уничтожение, за исключением случав, когда более узкий состав действий с персональными данными определен поручением оператора персональных данных, по поручению которого действует Общество, либо вытекает из условия обработки персональных данных.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением данных о состоянии здоровья работников, предусмотренных Трудовым кодексом Российской Федерации), интимной жизни, частной жизни, о членстве субъекта персональных данных в общественных объединениях или их профсоюзной деятельности, не осуществляется.
Для некоторых категорий персональных данных, обрабатываемых Обществом, допускается трансграничная передача. При этом Общество выполняет требования к такой передаче, определенные законодательством Российской Федерации.
Общество не осуществляет принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, может осуществляться в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных либо в рамках исполнения договора, стороной которого является субъект персональных данных.
8 Сроки хранения и требования к уничтожению персональных данных
8.1 Сроки хранения персональных данных в Обществе определены законодательством Российской Федерации и зависят от состава обрабатываемых данных.
8.2 Персональные данные, обрабатываемые Обществе, подлежат уничтожению в следующих случаях:
– при достижении целей обработки или в случае утраты необходимости в их достижении;
– при получении соответствующего запроса от субъекта персональных данных, если это не противоречит требованиям к сроку хранения персональных данных, установленному федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
– при получении соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных;
– по истечении определенных сроков хранения персональных данных.
8.3 Правила и процедура уничтожения документов, содержащих конфиденциальную информацию, определены в инструкции № 120-05-0005-2018.
9 Права и обязанности
9.1 Права и обязанности Общества.
9.1.1 Общество как оператор персональных данных имеет право:
– отстаивать свои интересы в суде;
– предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
– отказывать в предоставлении персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
– использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации.
9.1.2 Общество как оператор персональных данных обязано:
– не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
– по требованию субъекта персональных данных прекратить обработку его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
– принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ и иными законодательными актами Российской Федерации.
9.2 Права и обязанности субъекта персональных данных.
9.2.1 Субъект/представитель субъекта персональных данных имеет право:
– требовать уточнения/исправления своих персональных данных (субъекта персональных данных), их блокирования или уничтожения в случае, если персональные данные являются неполными, неточными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (прав субъекта персональных данных);
– требовать предоставления перечня своих персональных данных (субъекта персональных данных), обрабатываемых Обществом, и информации об источнике их получения, если иное не предусмотрено законодательством Российской Федерации;
– получать информацию о сроках обработки своих персональных данных (субъекта персональных данных), в том числе о сроках их хранения;
– требовать извещения всех лиц, которым ранее были сообщены неверные или неполные/неточные/неактуальные его персональные данные (субъекта персональных данных), обо всех произведенных в них исключениях, исправлениях или дополнениях;
– обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Общества при обработке его персональных данных (субъекта персональных данных);
– на защиту своих прав (субъекта персональных данных) и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
– отозвать согласие на обработку своих персональных данных (субъекта персональных данных), за исключением случаев, предусмотренных законодательством Российской Федерации.
9.2.2 Субъект/представитель субъекта персональных данных обязан своевременно предоставлять Обществу сведения об изменении своих персональных данных (субъекта персональных данных), если такая обязанность предусмотрена договором между субъектом персональных данных и Обществом, законодательством или внутренними нормативными документами Общества.
9.3 Общество и субъект персональных данных вправе воспользоваться своими правами, не указанными в настоящем стандарте, но предоставленными им законом либо договором.
10 Меры в области обработки и защиты персональных данных
10.1 Генеральный директор несет ответственность за общую организацию обработки персональных данных в Обществе. Ответственность за выполнение необходимых мероприятий по организации режима конфиденциальности персональных данных в структурных подразделениях Общества возлагается на руководителей структурных подразделений.
10.2 Общество реализует следующие меры, направленные на обеспечение выполнения обязанностей в области обработки и обеспечения безопасности персональных данных:
10.2.1 Назначение ответственных за обеспечение безопасности персональных данных.
10.2.2 Определение требований по вопросам обработки и обеспечения безопасности персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (Положение о защите персональных данных в АО «СатИЗ», Положение о порядке передачи персональных данных работника АО «СатИЗ»).
10.2.3 Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня их защищенности, а именно:
– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
– проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
– внедрение средств обнаружения фактов несанкционированного доступа к персональным данным и применение мер по каждому инциденту;
– реализация возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Общества, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
– проведение контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
10.2.4 Проведение оценки вреда, который может быть причинен субъектам персональных данных.
10.2.5 Ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, внутренними нормативными документами, определяющими политику Общества по вопросам обработки персональных данных.
11 Гарантии соблюдения прав субъектов персональных данных
11.1 Общество гарантирует соблюдение прав субъекта персональных данных, определенных Федеральным законом от 27.07.2006 № 152-ФЗ, а именно:
11.1.1 Право на уточнение его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
11.1.2 Право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Обществом;
правовые основания и цели обработки персональных данных;
– цели и применяемые Обществом способы обработки персональных данных;
– наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ.
11.1.3 Права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке.
11.1.4 Права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки его персональных данных.
11.1.5 Другие права, предусмотренные иными законодательными актами и специальными нормативными документами по обработке и защите персональных данных.
11.2 Дополнительную информацию, касающуюся обработки и обеспечения безопасности персональных данных, субъект персональных данных может получить, направив официальный запрос в адрес Общества в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ.
